OKTOBER 2021 6 tips Wat kun je doen tegen ransomware? Hoe cyberveilig ben jij? Doe de quiz Onderbroek op slot! En 4 andere bizarre hacks bij bedrijven 10 experts delen hun grootste blunders én gouden beveiligingstips SLUIT JE AAN BIJ ONS CYBERNETWERK OP LINKEDIN KLIK HIER! WEGWIJZER CYBER- SECURITY INCLUSIEF HANDIGE VEILIG ONLINE CHECKLIST
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
OKTOBER 2021
6 tips Wat kun je doen tegen ransomware?
Hoe cyberveilig ben jij? Doe de quiz
Onderbroek op slot! En 4 andere bizarre hacks bij bedrijven
10 experts delen hun grootste blunders én gouden beveiligingstips
En 4 andere bizarre hacks bij bedrijven . . . . . . . . . . . . . . 25
Nederlandse bedrijven krijgen per week gemiddeld 294 cyberaanvallen te verduren.
De meeste aanvallen worden gelukkig afgeslagen, maar een ‘geslaagde’ aanval
kost een getroffen bedrijf al gauw 67.000 euro! Jezelf hiertegen beter beschermen
bespaart je dus een hoop geld en kopzorgen.
KVK doet er alles aan om ondernemers veilig zaken te laten doen. Dat betekent ook
dat we je graag ondersteunen in het digitaal veiliger maken van jouw onderneming.
Daarmee voorkom je mogelijk een hoop ellende en dat is in veel gevallen ook een
stuk goedkoper en makkelijker dan achteraf repareren.
En weet dat je met een paar simpele maatregelen hackers vaak al buiten de deur
houdt. Daarom ook dit magazine. Hier lees je tips en adviezen van experts. Daarmee
maak je in principe in één uur je bedrijf al weerbaarder tegen cybercrime. Ook vertelt
ondernemer Jack van Diepen hoe hij omging met de digitale gijzeling van zijn loon
bedrijf. Betaal je bijvoorbeeld losgeld of niet?
Ik verwacht dat je na het lezen van dit magazine beter voorbereid bent op digitale
bedreigingen. Want je moet er niet aan denken dat een hacker ook jouw zaak op slot
zet. Laten we er samen voor zorgen dat cyberveiligheid straks net zo vanzelfsprekend
is als een goed slot op je winkel of kantoorpand.
Greet Prins
Voorzitter Raad van Bestuur KVK
Cybercrime | 3
Voorwoord
WEERBAAR TEGEN CYBERCRIME
Hoe vervelend ik het ook vind: cybercriminaliteit is aan de orde van de dag. Jaarlijks krijgt 1 op de 5 ondernemers – groot en klein – hiermee te maken. Jezelf daartegen beschermen is dus geen luxe, maar een must.
KLIK HIER! | 3
Bad Rabbit, Spider, GoldenEye: ze klinken als spannende
actiefilms, maar het zijn gevaarlijke softwareprogramma’s,
bedoeld om geld van bedrijven te stelen. We hebben het over
ransom ware. Goed nieuws: volgens het Britse securitybedrijf
Sophos zijn in januari en februari 2021 minder organisaties
aangevallen met ransomware dan een jaar eerder: 37% in
plaats van 51%. Slecht nieuws: de financiële schade door een
ransomwareaanval verdubbelde wereldwijd. Gemiddeld is de
schade door 1 aanval zo’n 1,5 miljoen euro.
Wat is ransomware?Ransomware is schadelijke software, of malware, die compu
ters en bestanden gijzelt. Vandaar de Nederlandse naam
‘gijzelsoftware’. Criminelen blokkeren of versleutelen je
computers, bestanden, soms zelfs hele netwerken en geven
die pas weer vrij als je losgeld betaalt. Volgens experts is
dubbele versleuteling in opkomst: de ransomware
versleutelt je data dan niet 1 keer, maar 2 keer.
Voor beide sleutels moet je betalen.
Bestanden gegijzeldEen aanval kan op meerdere manieren verlopen.
Via links, via bijlages in email, advertenties, maar ook
via gerichte aanvallen op servers proberen criminelen
de software een systeem binnen te loodsen. Is de ransom
ware eenmaal binnen, dan kan het zichzelf verspreiden.
De software blokkeert dan de toegang tot je computer
of netwerk, of versleutelt bestanden. In een popup eisen
de criminelen achter de aanval betaling, vaak in bitcoin
of een andere cryptovaluta.
Er gaat geen week voorbij zonder nieuws over ransomware- aanvallen. Ook als klein bedrijf ben je kwetsbaar voor zo’n aanval. Goed nieuws: je kunt actie ondernemen om jezelf te beschermen.
Om veilig online te ondernemen moet je tijd investeren
in je cyberveiligheid. Maar waar begin je? In deze
checklist staat wat je minimaal zou moeten doen om
cybercriminelen zoveel mogelijk buiten de deur te
houden. Hoeveel punten kun jij al afvinken?
CHECKLIST VEILIG ONLINE
KLIK HIER! | 9
Cybercriminaliteit, gijzelsoftware: iedereen heeft er wel eens
van gehoord. Maar vooral kleinere ondernemers denken dat
het hen niet zal overkomen. Volgens beveiligingsexperts is
dat een misverstand. Internetcriminelen weten vaak niet
eens met wat voor bedrijf ze te maken hebben. Ze kijken
vooral hoe makkelijk ze ergens kunnen binnenkomen. En
dan is losgeld vragen de volgende stap.
Niets werkte“Misschien is de stroom er even af geweest”, dacht Jack van
Diepen toen hij vorig jaar de hoofdpoort van zijn bedrijfster
rein niet kon openen. Die poort (en alle buitendeuren van zijn
pand) werkt met sleutel-tags die via wifi-verbinding maken
met de bedrijfscomputer. En geen enkele reageerde. Toen
kwamen de telefoontjes van zijn werknemers. “Verschillende
mannen waren al met machines op pad en hadden storingen.
Bij de ene werkte de gps niet meer, bij een ander deed het
egalisatieprogramma het niet. Alle tractoren, kranen en
andere machines werken met data en alles wat ze doen,
wordt geregistreerd. Al die data bewaren we in de cloud
en niets werkte meer.”
CYBERCRIMINALITEIT IS GEEN VER-VAN- MIJN-BED-SHOW
Internetcriminelen worden steeds slimmer. Informatiebeveiliging moet daarom bij elke onderneming onderdeel worden van de bedrijfsvoering, zeggen beveiligingsexperts. Jack van Diepen van Loonbedrijf Van Diepen is het daar hartgrondig mee eens sinds zijn onderneming digitaal werd gegijzeld.
Cybercriminaliteit is een plaag voor bedrijven. Bijna dagelijks ontvangen ondernemers
nepmails en links naar nepwebsites. Ze hebben te maken met DDoSaanvallen waarbij
cybercriminelen een bedrijfswebsite of webshop platleggen. Daarnaast gebruiken
criminelen ransomware om je computers, bestanden of netwerk te blokkeren of
versleutelen. Ze geven die pas weer vrij als je betaalt. Ook kan een fraudeur op social
media doen alsof hij voor je bedrijf werkt en zo je klanten misleiden, een vorm van
zakelijke identiteitsfraude.
CYBERCRIME IN HET MKB: VEEL SLACHTOFFERS, WEINIG MAATREGELENMeer dan de helft van het bedrijfsleven doet geen aangifte van cybercrime. En bedrijven nemen onvoldoende maatregelen om zich te beschermen tegen digitale fraude. Dat zijn de belangrijkste uitkomsten van het Cyber security onderzoek Veilig Online 2021 dat I&O Research uitvoerde in opdracht van het ministerie van Economische Zaken en Klimaat (EZK).
Deze gegevens komen uit het Cybersecurity onderzoek Veilig Online 2021, deelrapport bedrijfs-
leven. Dit deelrapport behandelt de resultaten van medewerkers en ICT-verantwoordelijken in
het bedrijfsleven. Medewerkers worden in het rapport uitgesplitst naar klein mkb, groot mkb
en grootbedrijf. Ook is er uitsplitsing naar medewerkers werkzaam in de vitale infrastructuur
en niet-vitale infrastructuur. In de duiding wordt ingezoomd op de resultaten van het mkb.
Het volledige onderzoeksrapport vind je op de website van Alert online.
• Klein mkb: 1 - 9 werknemers
• Groot mkb: 10 - 199 werknemers
• Grootbedrijf: 200+ werknemers
• Vitale infrastructuur: producten, diensten en onderliggende processen die van essentieel belang
zijn voor het dagelijkse leven van de meeste mensen in Nederland, zoals toegang tot drinkwater,
1. Tanya Wijngaarde, woordvoerder bij Fraudehelpdesk
Wat is je gouden tip voor ondernemers?
“Iedereen is interessant voor criminelen. Vooral kleine
ondernemers denken vaak dat zij geen interessant doelwit
zijn omdat er in hun bedrijf niet veel te halen is wat voor
anderen aantrekkelijk kan zijn. Dat is een misvatting: alle
ondernemers zijn een potentieel doelwit. Dat geldt ook als
je alleen kippenvoer verkoopt of zzp’er bent. Maak daarom
in elk geval regelmatig van al je gegevens een backup op
een externe harde schijf. Als je dan wordt getroffen door
gijzelsoftware, een eng virus of wat dan ook, ben je niet
meteen alles kwijt en hoef je ook geen criminelen te betalen.”
Welke securitytrend vind jij dit jaar het opvallendst?
“Wat bij de Fraudehelpdesk het meest opvalt is dat oplichters
over steeds meer informatie beschikken voordat ze hun grote
slag slaan. Ze ontfutselen bijvoorbeeld eerst de inloggegevens
van je bankaccount via een phishinglink en bellen je daarna
op als ‘bankmedewerker’ die inderdaad van alles weet over
je recente transacties. Met al die persoonlijke informatie
komen oplichters betrouwbaar en overtuigend over. Mensen
geven dan sneller hun gevoelige informatie weg.”
Blunders en tips 10 CYBER-EXPERTS AAN HET WOORD
We vroegen 10 experts naar hun grootste blunder, gouden tip en kijk op de securitytrends die zij signaleren. Voorkom met hun inzichten beveiligingsblunders in je eigen bedrijf.
2. Henk van Ee, docent en onderzoeker bij Information Security Expert Saxion Hogeschool
Wat is je grootste security blunder?
“Ik had een awareness training georganiseerd bij een
security consultancy bedrijf en binnen no time hadden de
deelnemers de tablet die ik bij me had met een wachtwoord
sterktemeter erop gehackt. Het was een oud apparaat, dus
extra belangrijk om security updates te draaien. Wat een
plezier hadden de ethisch hackers toen ze me daarop wezen.
Tja, en gelijk hadden ze!”
Wat is je gouden tip voor ondernemers?
“Voel je vooral niet dom als het aankomt op cybersecurity.
Veel mensen worstelen met de zogenaamde eenvoudige
maatregelen. Veel voorlichtingscampagnes geven altijd
zogenaamd ‘makkelijke tips’ om ‘snel en in een handomdraai’
veiliger te zijn. Maar het installeren van een wachtwoord
manager is voor een gemiddelde ondernemer helemaal
niet makkelijk. Laat een mbo ICT-student eens stage lopen
binnen je organisatie om je te helpen met dit soort maat
regelen.”
KLIK HIER! | 17
3. Joris den Bruinen, directeur-bestuurder van stichting The Hague Security Delta
Wat is je grootste securityblunder?
“Ik had mijn laptop niet afgesloten en ben even van mijn
werkplek gegaan. Op dat moment hadden wij een stagiair
die bezig was met cyber awareness bij ons intern en zij
heeft vanuit mijn naam een mailtje gestuurd naar hele
kantoor waarin stond dat ik de dag erna zou trakteren op
taart. Cleandesk, vernietigen van papier met gevoelige
gegevens, de computer en laptop afsluiten en foute mailtjes
met phisinglinkjes herkennen hoort allemaal ook bij data
beveiliging. Vanaf dat moment geef ik het goede voorbeeld
in mijn eigen gedrag.”
Welke securitytrend vind jij dit jaar het opvallendst?
“De hoeveelheid aan ransomwareaanvallen, waarbij de
bestanden versleuteld en tegen betaling vrijgegeven worden
door de cybercriminelen. En dat dit willekeurig gebeurt bij
degene die z’n digitale beveiliging niet op orde heeft. Het
treft daarmee ook veel mkb’ers.”
4. Petra Oldengarm, directeur bij Cyberveilig Nederland
Wat is je grootste securityblunder?
“Ik heb wel eens een mailtje aan naar de verkeerde persoon
gestuurd. Het algoritme van m’n emailprogramma ‘hielp’
me, door de naam van een ontvanger voor te stellen.
Gelukkig stond er niets vertrouwelijks in, maar het was toch
wel ongemakkelijk. Als ik nu een gevoelige mail stuur, contro
leer ik extra goed of ik de juiste geadresseerde heb ingevuld.”
Wat is je gouden tip voor ondernemers?
“Een redelijk simpele tip voor zelfstandigen of mkb’ers:
versleutel de harde schijf van je laptop. Dat kan tijdens het
installeren, maar ook achteraf. Het is een kwestie van een
vinkje zetten en een ingewikkeld wachtwoord kiezen. Op
die manier ligt je data niet op straat als iemand je laptop
steelt en de harde schijf eruit haalt. Het wachtwoord moet
je natuurlijk niet vergeten, daarvoor gebruik je een wacht
woordmanager.”
5. Henk Schippers, digitaal specialist bij Schippers IT
Wat is je grootste securityblunder?
“Dat ik ooit overal steeds hetzelfde wachtwoord gebruikte.
Tegenwoordig gebruik ik een zogeheten keypass met voor
iedere site een ander wachtwoord.”
Wat is je gouden tip voor ondernemers?
“Laat je online veiligheid regelmatig checken door andere
bedrijven dan de eigen ITafdeling.”
6. Dim Gerssen, manager bij securitybedrijf Surelock
Wat is je grootste securityblunder?
“Ik heb het geluk dat mij nog nooit iets ‘ergs’ is overkomen
op digitaal gebied. Wel moet ik zeggen, met de kennis van
nu, dat mijn wachtwoorden uit het verleden niet zo heel
goed waren. Ik gebruikte eigenlijk overal hetzelfde zwakke
wachtwoord. Gelukkig heeft dat geen grote gevolgen gehad.”
Wat is je gouden tip voor ondernemers?
“Vergeet je medewerkers niet. Medewerkers vormen een
essentieel onderdeel van je beveiliging. Technisch gezien
kun je een hoop dicht timmeren, maar als een medewerker
gephisht wordt of een malafide USB-stick in een computer
steekt, kan het alsnog fout aflopen.”
“Ooit gebruikte ik overal hetzelfde wachtwoord voor”
KLIK HIER! | 18
7. Jan Los, eigenaar van Aurio ICTWat is je gouden tip voor ondernemers?
“Neem alle meldingen die je over veiligheid krijgt serieus
totdat het tegendeel is bewezen. Ik kom regelmatig data-
lekken of kwetsbare systemen tegen online. Als ik mensen
daarvoor waarschuw, krijg ik vaak geen reactie. Maar als je
niks doet met een waarschuwing, blijft de data beschikbaar
of het systeem kwetsbaar.”
Welke securitytrend vind jij dit jaar het opvallendst?
“Eentonig waarschijnlijk: de explosie van ransomware. Aan
de ene kant verbaast het me niet, want het is voor criminelen
een geweldig verdienmodel. Maar het wordt nu echt een
plaag voor het mkb. Ondernemers hebben zwaardere
maatregelen nodig terwijl ze daar niet aan toe zijn of geen
geld aan uit willen geven. En helaas: ‘We doen alles in
de cloud’ is geen Haarlemmerolie.”
8. Sanne Maasakkers, ethisch hackerWat is je gouden tip voor ondernemers?
“Je kunt nooit 100% voorkomen dat je gehackt wordt, dus
bedenk ook eens wat je moet doen als het mis gaat. Je doet
eens per jaar een brandoefening, maar waarom geen digitale
brandoefening? Loop stap voor stap zo’n situatie door en
bedenk welke acties je gaat ondernemen. Zo sta je minder
voor verrassingen wanneer er echt iets gebeurt.”
Welke securitytrend vind jij dit jaar het opvallendst?
“Eigenlijk sta je bijna nergens meer van te kijken tegenwoor
dig. Iets wat we het afgelopen jaar veel in het nieuws hebben
gezien is misbruik van kwetsbaarheden in producten van
Microsoft of supplychain attacks via Kaseya. Hierdoor zou
je bijna denken dat aanvallers vrij spel hebben, maar bedenk
dat cybersecurityspecialisten ook heel veel aanvallen wél
voorkomen en tegenhouden.”
9. Jaap Schouten, Digitaal forensisch specialist bij Praetorian-IT
Wat is je gouden tip voor ondernemers?
“Denk niet dat je nooit het slachtoffer kan worden van
cybercrime en dat Cyber Awareness een eenmalig ding is.”
Welke securitytrend vind jij dit jaar het opvallendst?
“Phishing vind ik dit jaar het opvallendst. Ook dit jaar is tot
op heden thuiswerken een norm waar cybercriminelen op
een sluwe en vaak geraffineerde manier gebruik van maken
in de vorm van phishing.”
10. Gina Doekhie, cybersecurityspecialist bij de politie
Wat is je grootste securityblunder?
“Tijdens een onderzoek waarbij iemand dacht dat de muis
van een laptop bewoog zonder dat diegene de muis aan
raakte, installeerde ik software waarmee je muisbewegingen
registreert. Maar in de software zat malware en toen stond
de security officer binnen een paar minuten naast mij.
Gelukkig kon ik het incident gelijk oplossen.”
Welke securitytrend vind jij dit jaar het opvallendst?
“Ik denk de toename van flubot malware. Dat is malware
op een telefoon. Voorheen was het nog niet heel veel
voorkomend. Dit betekent dat we ook veel bewuster
moeten omgaan met security op je telefoon! Ik denk dat
die trend wel door gaat zetten.”
KLIK HIER! | 19
Cybercrime | 20
Bij cybercrime denk je misschien snel aan een hacker achter een computerscherm met program-meercodes. Toch is de werkelijkheid vaak minder hightech. Veel aanvallen beginnen bij menselijke misleiding, ofwel ‘social engineering’.
Bij social engineering maken internetcriminelen misbruik van menselijke eigen
schappen zoals angst, hebzucht, nieuwsgierigheid, vertrouwen en onwetendheid.
Zo verleiden oplichters je bijvoorbeeld om persoonlijke of bedrijfsgevoelige gegevens
te delen voor het zogenaamd deblokkeren van een account. Welke soorten social
engineering zijn er, en hoe bescherm je je ertegen?
Fysieke social engineeringEr zijn 2 soorten social engineering: fysieke en digitale. Bij fysieke social engineering
vindt de misleiding op locatie plaats. Het doel van de crimineel of hacker is om
belangrijke informatie te stelen, die hij op een later moment gebruikt om een
digitale aanval te plegen. De belangrijkste vormen van fysieke social engineering zijn:
Afval doorzoeken
Criminelen doorzoeken je afval op jacht naar bedrijfsgegevens, zoals brieven of
gekopieerde documenten. Deze techniek wordt ook wel ‘dumpster diving’ genoemd.
De gegevens gebruiken ze bijvoorbeeld om geloofwaardig over te komen wanneer
ze telefonisch contact met je opnemen.
Vernietig je informatie zorgvuldig
Wees je bewust van welke informatie je weggooit en hoe je dat doet. Zelfs onschuldig
lijkende informatie zoals een bellijst of functieomschrijving kan voor een crimineel
nuttig zijn bij een gerichte aanval. Maak gebruik van een papier versnipperaar of een
ONDERBROEK OP SLOT! EN 4 ANDERE BIZARRE HACKS BIJ BEDRIJVEN
1Inbreken via een aquarium of losgeld eisen met een kassa bon: cybercriminelen zijn behoorlijk creatief. Dit zijn 5 gekke hacks bij bedrijven van de afgelopen jaren. En we trekken er lessen uit. Bijvoorbeeld: maak goede back-ups.
Onder de gordelEen metalen onderbroek met een digitaal slot erop: 40.000 van dit soort
slimme kuisheidsgordels verkocht het Chinese bedrijf Qiui wereldwijd.
Goede zaken dus. Tot oktober 2020, toen een securitybedrijf een kwets
baarheid in de beveiliging ontdekte. Hackers zouden de gordel, die via een
app bediend wordt, op afstand op slot kunnen zetten. De enige manier om
dan je edele delen te bevrijden: een betonschaar. Het gat in de beveiliging
kwam naar buiten en het bedrijf leed enorme reputatieschade.
Wijze les:
Is het succes van je onderneming sterk afhankelijk van digitale technolo
gie? Zorg dan dat je de veiligheid regelmatig goed test. Begin bijvoorbeeld
met een cyberscan, of laat een pentest uitvoeren.
In films hacken criminelen met 1 druk op de knop een
kerncentrale. In het echte leven is dat moeilijker. Maar
toch, deze 5 waargebeurde hacks bij bedrijven zouden
zo in een film kunnen. Je steekt er ook iets van op. Met
goede cybersecurity voorkom je schade aan je bedrijf